09 de mayo de 2024Sala de prensaSeguridad móvil/ataque cibernético Las instituciones gubernamentales polacas han sido atacadas como parte de una campaña de malware a gran escala orquestada por un actor-estado-nación vinculado a Rusia llamado APT28. «La campaña envió correos electrónicos con contenido destinado a despertar el interés del destinatario y persuadirlo a hacer clic en el enlace», dijo el equipo de respuesta a emergencias informáticas, CERT Polska, en un boletín del miércoles. Al hacer clic en el enlace se redirige a la víctima al dominio run.mocky[.]io, que, a su vez, se utiliza para redirigir a otro sitio legítimo llamado webhook[.]site, un servicio gratuito que permite a los desarrolladores inspeccionar los datos que se envían a través de un webhook, en un esfuerzo por evadir la detección. El paso paso implica la descarga de un archivo ZIP desde el webhook.[.]sitio, que contiene el binario de la Calculadora de Windows que se hace pasar por un archivo de imagen JPG («IMG-238279780.jpg.exe»), un archivo de secuencia de comandos por lotes oculto y otro archivo DLL oculto («WindowsCodecs.dll»). Si una víctima ejecuta la aplicación, el archivo DLL malicioso se carga lateralmente mediante una técnica llamada carga lateral de DLL para finalmente ejecutar el script por lotes, mientras que las imágenes de una «mujer real en traje de baño junto con enlaces a sus cuentas reales en «Plataformas de redes sociales» se muestran en un navegador web para mantener la artimaña. El script por lotes descarga simultáneamente una imagen JPG («IMG-238279780.jpg») desde el webhook.[.]sitio que posteriormente se renombra a un script CMD («IMG-238279780.cmd) y se ejecuta, después de lo cual recupera la carga útil de la etapa final para recopilar información sobre el host comprometido y enviar los detalles de regreso. CERT Polska dijo que la cadena de ataque tiene similitudes con una campaña anterior que propagó una puerta trasera personalizada llamada HeadLace. Vale la pena señalar que el abuso de servicios legítimos como Mocky y webhook.[.]sitio es una táctica adoptada repetidamente por los actores de APT28 para eludir la detección por parte del software de seguridad. «Si su organización no utiliza los servicios mencionados anteriormente, le recomendamos que considere bloquear los dominios mencionados en los dispositivos perimetrales», agregó. «Independientemente de si utiliza los sitios web mencionados anteriormente, también recomendamos filtrar los correos electrónicos en busca de enlaces en webhook.site y run.mocky.io, porque los casos de uso legítimo en el contenido del correo electrónico son muy raros». El hecho se produce días después de que los países de la OTAN acusaran al grupo respaldado por el Kremlin de llevar a cabo una campaña de ciberespionaje a largo plazo dirigida a sus entidades políticas, instituciones estatales e infraestructura crítica. Las actividades maliciosas de APT28 también se han expandido para apuntar a dispositivos iOS con el software espía XAgent, que Trend Micro detalló por primera vez en relación con una campaña denominada Operación Pawn Storm en febrero de 2015. «XAgent, dirigido principalmente a entidades políticas y gubernamentales en Europa occidental, posee capacidades para control remoto y exfiltración de datos», dijo Symantec, propiedad de Broadcom. «Puede recopilar información sobre los contactos de los usuarios, mensajes, detalles del dispositivo, aplicaciones instaladas, capturas de pantalla y registros de llamadas. Estos datos podrían usarse potencialmente para ingeniería social o campañas de phishing». La noticia de los ataques de APT28 a entidades polacas también sigue a un aumento en los ataques con motivación financiera por parte de grupos de delitos electrónicos rusos como UAC-0006 dirigidos a Ucrania en la segunda mitad de 2023, incluso cuando organizaciones en Rusia y Bielorrusia han sido atacadas por un actor-estado-nación. conocido como Midge para entregar malware capaz de saquear información confidencial. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.